Nombre:TR/Dldr.Ebill.L
Descubierto:14/01/2009
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:1.007.616 Bytes
Suma de control MD5:268feb4d73cf742f85d098e254cd1e0D
Versión del IVDF:7.01.01.115 - miércoles 14 de enero de 2009

 General Alias:
   •  Mcafee: PWS-Zbot trojan !!!
   •  Kaspersky: Trojan-Spy.Win32.Zbot.kbi
   •  Sophos: Mal/UnkPack-Fam
   •  Panda: Trj/Sinowal.WJC
   •  Eset: Win32/Spy.Zbot.EF trojan
   •  Bitdefender: Trojan.SPY.Zbot.UV


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros  Se copia a sí mismo al siguiente lugar. Este archivo tiene un número indeterminado de bytes adjuntos, de forma que puede ser distinto al original:
   • %SYSDIR%\twex.exe



Crea el siguiente fichero:

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\twain32\local.ds
   • %SYSDIR%\twain32\user.ds
   • %SYSDIR%\twain32\user.ds.lll




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://91.211.65.33/ferrari/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%configuración definida por el usuario%,%SYSDIR%\twex.exe,"



Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Nuevo valor:
   • "EnableFirewall"=dword:0x0

 Tecnología Rootkit Oculta las siguientes:
– Su propio fichero


Método empleado:
    • Oculto en Windows API
    • Hook the Import Address Table (IAT) (es)

Engancha las siguientes funciones API:
   • ntdll.dll -> LdrGetProcedureAddress
   • ntdll.dll -> LdrLoadDll
   • ntdll.dll -> NtCreateThread
   • ntdll.dll -> NtQueryDirectoryFile
   • user32.dll -> TranslateMessage
   • user32.dll -> GetClipboardData

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes 13 de octubre de 2009
Descripción actualizada por Andrei Ivanes el jueves 15 de octubre de 2009

Volver . . . .